2026년 3월 30일에 공개된 Google Quantum AI whitepaper published는 전체 공급량의 약 3분의 1에 해당하는 약 690만 개의 Bitcoin (BTC)이 양자 컴퓨터의 “정지 상태(at-rest)” 공격에 취약한 주소에 보관되어 있음을 지적한다. 여기에는 네트워크의 가명 창시자인 Satoshi Nakamoto와 관련된 것으로 추정되는 약 110만 BTC도 포함된다.
요약
- Google Quantum AI는 비트코인의 256비트 타원 곡선 암호(ECC)를 깨는 데 필요한 물리 큐비트 수가 50만 개 미만일 수 있다고 밝혔다. 이는 이전 추정치보다 20배 줄어든 수치다.
- 약 690만 BTC가 공개키가 영구적으로 노출된 주소 유형에 머물러 있어, 향후 양자 정지 상태 공격의 주요 표적이 된다.
- 사토시 시대의 P2PK 주소는 누구도 업그레이드할 수 없어, 휴면 코인을 동결할지 취약 상태로 둘지에 대한 거버넌스 논쟁을 야기한다.
구글 백서는 실제로 무엇을 말하나
논문의 정식 제목은 “Securing Elliptic Curve Cryptocurrencies against Quantum Vulnerabilities: Resource Estimates and Mitigations.”이다. runs 57페이지 분량으로, 주요 기술 기업이 내놓은 문서 가운데 가장 상세한 양자 암호 위협 평가에 속한다.
Ryan Babbush, Adam Zalcman, Craig Gidney, Michael Broughton, Tanuj Khattar, Hartmut Neven 등 여섯 명의 Google Quantum AI 연구원이 공저자로 참여했다. 외부 협력자로는 UC 버클리의 Thiago Bergamaschi, Ethereum Foundation의 Justin Drake, 스탠퍼드의 Dan Boneh가 포함됐다.
핵심 기술적 성과는 256비트 타원 곡선에서 타원 곡선 이산 로그 문제(ECDLP)에 대한 쇼어 알고리즘을 implement하는 최적화된 양자 회로 두 가지를 제시한 것이다.
이것이 바로 비트코인을 보호하고 있는 정확한 암호 원시(primitive)다.
한 회로는 1,200개 미만의 논리 큐비트와 9천만 개의 Toffoli 게이트를 사용한다. 다른 회로는 1,450개 미만의 논리 큐비트와 7천만 개의 Toffoli 게이트를 사용한다.
구글은 이 회로들이 50만 개 미만의 물리 큐비트를 탑재한 초전도 양자 컴퓨터에서 수분 내에 실행될 수 있다고 추정한다. 이전 추정은 훨씬 더 많은 하드웨어를 요구했다. 예를 들어 University of Sussex의 2022년 논문은 projected 한 시간짜리 공격에 3억1,700만 개, 10분짜리 공격에는 19억 개의 물리 큐비트가 필요하다고 분석했는데, 구글의 결과는 이 요구량을 약 20분의 1로 압축한다.
이례적인 점은, 자원 추정 논문임에도 실제 회로 구현을 공개하지 않았다는 것이다. 대신 SP1과 Groth16 SNARK를 이용한 영지식 증명을 제시해, 독립 연구자들이 공격 세부를 알지 못한 채 주장만 검증할 수 있도록 했다.
이는 구글이 이전에 달성한 양자 연구 성과를 builds 한 것이다.
2024년 12월에 발표되어 Nature에 실린 Willow 칩은 105개의 초전도 큐비트를 탑재해, 초전도 프로세서에서 최초로 “임계값 이하(below-threshold)” 양자 오류 수정을 시연했다. 3x3, 5x5, 7x7 큐비트 격자로 갈수록 오류율이 절반으로 줄어들었다. Willow는 기존 슈퍼컴퓨터 Frontier가 약 10승 24년(10 septillion years)이 걸릴 것으로 추정되는 벤치마크를 5분 이내에 수행했다.
그렇지만 구글은 Willow가 현재로서는 암호 위협이 되지 않는다고 명시했다.
Google Quantum AI의 디렉터이자 COO인 Charina Chou는 2024년 12월 The Verge와의 인터뷰에서, 이 칩은 현대 암호를 깨지 못하며 RSA를 뚫으려면 약 400만 개의 물리 큐비트가 필요하다고 말했다.
Also Read: Experts Say Bitcoin Isn't In Danger Today, But The Clock Is Ticking
왜 사토시의 코인이 가장 위험한가
구글 분석의 핵심 취약점은 비트코인 초창기의 설계 선택에서 비롯된다. 사토시 나카모토가 2009년 1월 3일 네트워크를 출시했을 때, 채굴 소프트웨어는 블록 보상을 P2PK(Pay-to-Public-Key) 출력으로 전송했다. 이 형식에서는 코인이 도착하는 순간부터 전체 공개키가 블록체인에 영구히 노출된다.
락 스크립트는 공개키 뒤에 OP_CHECKSIG 명령이 붙는 구조일 뿐이다. 즉, 65바이트(비압축) 또는 33바이트(압축) 공개키가 체인을 읽는 누구에게나 그대로 드러난다.
이를 보호하는 해시 계층이 없다.
사토시는 동시에 P2PKH(Pay-to-Public-Key-Hash)도 implemented 했는데, 이 형식은 공개키의 해시만 저장한다. 우리가 익숙한 “1”로 시작하는 P2PKH 주소는 제네시스 블록 이후 2주 이내에 체인에 등장했다.
이러한 설계는 의도적인 것이었다. 사토시는 타원 곡선 암호가 향후 양자 컴퓨터에서 실행되는 변형 쇼어 알고리즘에 의해 깨질 수 있음을 인지하고 있었다.
그럼에도 채굴 소프트웨어는 2009~2010년 내내 코인베이스 보상에 대해 기본값으로 P2PK를 사용했다. Sergio Demian Lerner가 2013년 처음 발표한 파토시(Patoshi) 패턴 연구는 한 개체가 2009년 1월부터 2010년 중반까지 약 2만2,000개의 블록을 채굴해, 약 100만~110만 BTC를 축적한 것으로 identified 했다.
해당 채굴 행태는 공개 클라이언트와는 뚜렷이 달랐다. 멀티스레드 논스 스캐닝을 사용했고, 네트워크 안정성을 위해 출력을 의도적으로 조절한 흔적을 보였다.
이 보유분 가운데 실제로 사용된 것은 약 907 BTC에 불과하다. 가장 유명한 거래는 2009년 1월 12일 Hal Finney에게 10 BTC를 보낸, 최초의 개인 간 비트코인 전송이다.
이 코인들이 한 번도 움직이지 않았기 때문에, 해당 공개키는 영구히 노출된 상태다. 쇼어 알고리즘을 실행하는 양자 컴퓨터는 시간 압박 없이 대응 개인키를 도출할 수 있다. 이것이 바로 핵심 “정지 상태(at-rest)” 공격 벡터다.
Also Read: Midnight Mainnet Debuts On Cardano With 9 Partners, Including Google Cloud
세 가지 공격 벡터와 690만 BTC의 노출
구글 백서는 양자 공격이 암호화폐를 어떻게 위협하는지에 대한 분류 체계를 formalizes 하면서, 각 위협 벡터의 규모를 명확히 한다.
정지 상태(at-rest) 공격은 블록체인에 공개키가 영구히 노출된 UTXO를 표적으로 한다. 공격자는 개인키를 도출하는 데 며칠, 몇 달, 몇 년이 걸려도 상관이 없다. 이 범주에는 세 가지 주요 주소 유형이 포함된다.
- 코인이 도착하는 순간부터 락 스크립트에 공개키가 그대로 드러나는 P2PK 주소
- 첫 번째 출금 거래에서 공개키가 드러난 이후 재사용된 P2PKH 주소
- 설계상 조정(tweak)된 공개키를 온체인에 직접 저장하는 P2TR/탭루트 주소
구글은 탭루트가 양자 관점에서 보안 측면의 후퇴이며, 재사용과 탭루트 노출을 모두 고려하면, 온체인 분석 결과 P2PK 스크립트에 약 170만 BTC, 전체 취약 주소 유형에 걸쳐 약 690만 BTC가 존재한다고 identifies 한다. 시간 제약이 없기 때문에, 중성 원자나 이온트랩처럼 클럭이 느린 양자 아키텍처도 정지 상태 공격을 실행할 수 있다.
온스펜드(on-spend) 공격(과거 “in-transit” 공격으로 불림)은 멤풀에 있는 미확정 트랜잭션을 노린다.
사용자가 트랜잭션을 전파하면, 입력에서 공개키가 revealed 된다. 공격자는 트랜잭션이 확정되기 전에, 즉 비트코인 기준으로 약 10분 안에 개인키를 도출해야 한다.
Google의 논문에 따르면, 빠른 클럭을 가진 초전도 양자 컴퓨터는 약 9분 안에 ECDLP를 풀 수 있어, 트랜잭션 확정보다 먼저 해킹에 성공할 확률이 약 41%에 달한다.
온세트업(on-setup) 공격은 신뢰 설정(trusted setup) 의식과 같은 고정 프로토콜 파라미터를 노린다. 비트코인은 이 벡터에 대해 면역이다. 그러나 Ethereum (ETH)의 데이터 가용성 샘플링(Data Availability Sampling)과 Tornado Cash 같은 프로토콜은 취약할 수 있다.
중요한 점은 작업증명(Proof-of-Work) 채굴 자체는 위협받지 않는다는 것이다. 그로버 알고리즘은 SHA-256에 대해 최대 제곱근 수준(quadratic)의 속도 향상만 제공해, 유효 보안을 256비트에서 128비트로 낮출 뿐인데, 여전히 현실적 공격 범위를 훨씬 넘어선다. Dallaire-Demers 등 연구진이 2026년 3월 발표한 논문은, 양자 채굴에는 약 10²³개의 큐비트와 10²⁵와트의 전력이 필요해, 문명 규모의 에너지 요구량에 근접한다고 demonstrated 했다.
Also Read: Bitcoin Faces Six Bearish Months But ETF Demand Grows
비트코인에 대한 Q-Day는 얼마나 남았나
현재 양자 하드웨어와 암호적으로 의미 있는 수준 사이의 격차는 여전히 크지만, 예상보다 빠르게 좁혀지고 있다.
오늘날 선도적인 프로세서에는, 앞서 언급한 구글의 105큐비트 초전도 칩 Willow, 향상된 충실도와 120큐비트를 탑재한 IBM Nighthawk, 98개의 트랩 이온 큐비트를 가진 Quantinuum Helios, 그리고 Caltech의 6,100개 중성 원자 큐비트 배열 기록 등이 include 된다.
가장 큰 범용 시스템은 여전히 IBM의 1,121큐비트 Condor다. 구글이 제시한 “50만 개 미만 물리 큐비트” 목표와 비교하면, 현재와의 격차는 아키텍처에 따라 약 80배에서 5,000배 사이에 해당한다.
Several developments 2025년과 2026년에 들어서면서 일정이 가속화되고 있다.
- Microsoft는 2025년 2월, 위상 큐비트를 사용하는 최초의 프로세서인 Majorana 1을 공개했다. 손바닥 크기 칩에 100만 개의 큐비트까지 확장하는 것을 목표로 설계되었으나, 독립적인 재현 연구들에서는 위상 효과가 결정적으로 입증되었는지에 대해 의문을 제기하고 있다.
- Amazon의 Ocelot 칩 역시 2025년 2월에 공개되었으며, 오류 정정 오버헤드를 최대 90%까지 줄인다는 “고양이 큐비트(cat qubits)”를 사용한다.
- Google의 백서와 함께 공개된 동반 논문은, 낙관적인 가정하에 중성 원자(neutral-atom) 아키텍처가 1만 개 수준의 물리적 큐비트만으로 ECC-256을 깨뜨릴 수 있다고 주장했다.
전문가들의 타임라인 평가는 매우 넓은 범위에 걸쳐 있다. Google은 자사 시스템을 양자 내성(PQC)으로 전환하는 내부 마감 시한을 2029년으로 설정했다.
이더리움 연구자 Justin Drake는 2032년까지 양자 컴퓨터가 secp256k1 ECDSA 개인키를 복구할 수 있을 확률을 최소 10%로 추정한다. IonQ의 로드맵은 2030년까지 8만 개의 논리 큐비트를 목표로 한다.
반면 회의적인 입장도 있다. Blockstream CEO Adam Back은 2028년 내 실현된다는 일정은 신뢰할 수 없다고 일축한다. NVIDIA CEO Jensen Huang은 유용한 양자 컴퓨터가 나오기까지 15~30년이 걸릴 것으로 본다. NIST는 2035년까지 양자 내성 암호로의 마이그레이션을 완료할 것을 권고한다.
알고리듬 개선 추세는 긴박감을 더한다. 타원곡선 암호(ECC)를 깨기 위해 필요한 물리적 큐비트 수는 2010년부터 2026년 사이에 4~5자릿수(orders of magnitude)나 감소했다. Google의 최신 회로는 이전 최선 추정치 대비 추가로 20배 감소를 달성했다.
Also Read: Chainalysis Launches AI Bots To Fight Crypto Crime
양자 위협으로부터 비트코인 프로토콜을 지키기 위한 레이스
비트코인 개발자 커뮤니티는 여러 제안들을 중심으로 움직이고 있지만, 근본적인 거버넌스 문제는 여전히 남아 있다.
MARA/Anduro의 Hunter Beast, Ethan Heilman, Isabel Foxen Duke가 공동 작성한 BIP-360(Pay-to-Merkle-Root)은 2025년 2월 공식 BIP 레포지토리에 머지되었다. 이 제안은 스크립트 트리의 머클 루트에만 커밋하는 bc1z 프리픽스를 사용하는 새로운 세그윗 버전 2 출력 유형을 도입한다. 이를 통해 Taproot의 양자 취약한 키 경로(key-path) 사용을 제거한다. BIP-360 자체는 양자 내성 서명을 도입하지는 않지만, 이를 위한 프레임워크를 마련한다.
BTQ Technologies는 자사의 Bitcoin Quantum 테스트넷에서 동작하는 BIP-360 구현체를 배포했다. 2026년 3월 기준 50개 이상의 채굴자와 10만 개 이상의 블록이 생성되었다.
Lopp/Papathanasiou 제안은 2025년 7월 Quantum Bitcoin Summit에서 공개되었으며, 3단계 소프트포크를 개요한다.
Phase A는 BIP-360 활성화 3년 후, 레거시 ECDSA 주소로의 전송을 금지한다. Phase B는 그로부터 2년 후 모든 레거시 서명을 무효화해, 양자 취약 코인을 영구적으로 동결한다. Phase C는 BIP-39 시드 소유에 대한 영지식 증명(zk-proof)을 통한 선택적 복구 경로를 제공한다.
Agustin Cruz의 QRAMP 제안은 보다 강경한 입장을 취한다. 하드포크를 통해 강제 마이그레이션 기한을 설정하고, 그 이후에도 마이그레이션되지 않은 코인은 쓸 수 없게 만들 것을 제안한다. Marathon Digital의 Hunter Beast와 Michael Casey가 제안한 Hourglass 제안은 중도적인 접근으로, 양자에 노출된 코인의 이동을 블록당 1개 UTXO로 속도 제한(rate-limiting)해, 잠재적인 공격 시간을 수 시간에서 약 8개월로 늘리자는 내용이다.
표준화 측면에서 NIST는 2024년 8월 최초의 양자 내성 암호 표준 3가지를 최종 확정했다. 키 캡슐화를 위한 ML-KEM(CRYSTALS-Kyber 기반), 전자서명을 위한 ML-DSA(CRYSTALS-Dilithium 기반), 그리고 백업 서명 표준으로 SLH-DSA(SPHINCS+ 기반)다.
다섯 번째 알고리듬인 HQC는 2025년 3월 백업 키 캡슐화 메커니즘으로 선정되었다.
비트코인에 통합하는 데 있어 가장 큰 과제는 서명 크기다. Dilithium 서명은 약 2,420바이트로, 약 72바이트 수준인 ECDSA 서명에 비해 33배 커서 블록 공간을 압박하고 트랜잭션 비용을 크게 높일 수 있다.
비트코인 외부의 더 넓은 생태계도 빠르게 움직이고 있다.
이더리움 재단은 2026년 1월 양자 내성 보안을 핵심 전략 우선순위로 지정하고, 2029년까지 중기적인 양자 저항성 확보를 목표로 하는 4단계 하드포크 로드맵을 발표했다. Coinbase는 Scott Aaronson, Dan Boneh, Justin Drake가 참여하는 양자 컴퓨팅 독립 자문위원회를 구성했다.
Also Read: Cardano Whales Grab $53M In ADA But Price Stays Flat
지금 비트코인 보유자가 해야 할 일
프로토콜 레벨 논쟁이 이어지고 있지만, 개별 비트코인 보유자를 위한 실질적인 가이드는 비교적 명확하다. P2WSH(세그윗 위트니스 스크립트 해시, 62자 길이의 bc1q) 또는 P2WPKH(세그윗, 42자 길이의 bc1q) 주소에 보관되어 있고, 아직 한 번도 출금에 사용된 적이 없는 코인은 현재 가능한 가장 강한 보호를 제공한다.
체인 상에는 공개키의 해시만 드러나기 때문이다.
P2TR/Taproot(bc1p) 주소는 대규모 또는 장기 보유용으로는 피하는 것이 좋다. 설계상 공개키가 노출되기 때문이다.
가장 중요한 실천 수칙은 주소 재사용을 절대 하지 않는 것이다. 어떤 주소에서든 비트코인을 한 번이라도 사용하면 공개키가 노출되며, 그 주소에 남아 있거나 향후 들어오는 자금은 양자 취약 상태가 된다. 사용자는 Project Eleven의 오픈소스 Bitcoin Risq List를 사용해 자신의 노출 상태를 확인할 수 있는데, 이 리스트는 네트워크 상의 모든 양자 취약 비트코인 주소를 추적한다.
노출된 주소에서 새로 생성된, 한 번도 사용되지 않은 해시 기반 주소로 자금을 옮기면, 보관 중(at-rest) 취약성은 제거된다.
비트코인 커스터디 기업인 Unchained가 경고하듯, 양자 위협 공포를 내세워 성급한 이체를 유도하는 사기꾼을 조심해야 한다. 당장 긴급하게 행동할 필요는 없다.
더 근본적인 문제는 약 170만 BTC가 P2PK 주소에 묶여 있다는 점이다. 여기에는 사토시가 보유한 것으로 추정되는 약 110만 BTC도 포함되며, 이들의 키는 되돌릴 수 없을 정도로 노출된 상태이고, 소유자가 이를 옮길 수 있는 가능성도 거의 없다. 이 코인들을 동결할지, 속도를 제한할지, 혹은 그대로 두어 결국 양자 도난에 노출되게 할지 여부는 비트코인 역사상 가장 중대한 거버넌스 논쟁 중 하나로 떠오르고 있다.
Jameson Lopp의 표현대로, 양자를 이용한 비트코인 복구를 허용한다는 것은, 사실상 양자 컴퓨터 확보 경쟁에서 승리한 이들에게 부가 재분배되는 효과를 만든다.
Also Read: Saylor Quiet On Bitcoin After 13-Week Buying Spree
결론
Google의 2026년 3월 백서는 즉각적인 위협을 드러낸 것은 아니다. 현재 비트코인 암호를 깨트릴 수 있는 양자 컴퓨터는 존재하지 않는다. 그러나 이 백서는 추정 자원 요구량을 극적으로 줄였고, 대비를 “이론적인 문제”가 아니라 “시급한 과제”로 만드는 타임라인을 공식화했다.
50만 개 미만의 물리적 큐비트로의 감소와, 지난 15년 동안 요구량 추정치가 4~5자릿수나 줄어든 사실을 감안하면, 현재의 역량과 암호학적 관련성 사이의 간극은 2020년대 후반에서 2030년대 초반에 걸친 업계 로드맵과 교차하는 궤도로 좁혀지고 있다. 690만 BTC에 대한 보관 중(at-rest) 취약성은, 키를 잃어버린 P2PK 주소에 대해 소급적인 해결책이 없는, 이미 알려지고 수량화된 위험이다.
비트코인에 대한 양자 위협은 주로 하드웨어 문제가 아니다. 거버넌스와 마이그레이션의 문제다. 필요한 프로토콜 업그레이드와 사회적 합의를 만드는 과정은 역사적으로 비트코인 생태계에서 5~10년이 걸려 왔다. 그 시계는 Google이 그 수치를 공개한 순간부터 이미 작동을 시작했다.
Read Next: Crypto Funds Bleed $414M In First Outflows Over Five Weeks: CoinShares